特集：Webからの脅威　～コンピュータウイルスの最新動向とその対策技術～(１)

ホーム > 特集一覧 > Webからの脅威～コンピュータウイルスの最新動向とその対策技術～(1)

○プロフィール
黒木直樹（くろきなおき）
トレンドマイクロ株式会社　http://www.trendmicro.co.jp/
上級セキュリティエキスパート

オフコンやファームウェアの開発を経て、1996年トレンドマイクロ入社。法人向けウイルス対策製品のプロダクトマーケティングを経て、製品開発部の部長代行に就任（2000年）。個人・法人向け全製品の開発においてリーダーを務め、同社のビジネスを支える主力製品へと成長させる。アウトソーシングサービス事業の立ち上げ後（2001年）、2002年にコンサルティングSEグループ兼インテグレーショングループ部長に就任。営業支援のシステムエンジニア、テクニカルコンサルタントを率い、情報セキュリティ全般にわたりプロジェクトを推進する。

1）	ウイルスの傾向「金銭目的のターゲット攻撃」
2）	最新の攻撃手法「Ｗｅｂからの脅威」
3）	「Ｗｅｂからの脅威」を防げない理由

■次回予告

はじめに

皆さんは最近、コンピュータウイルスに遭遇した経験をお持ちだろうか？また、自分でなくとも、第三者の被害を聞いたことがあるだろうか？多くの方は、少なくとも新聞や雑誌、Webのニュースでコンピュータウイルスについての情報に触れた経験があると思うが、皆さん自身もしくは自社だけはウイルスと縁遠いと考えている方もいるかもしれない。本稿では、数年前の常識や昔ながらのウイルスのイメージでは対処できない近年の攻撃の傾向を解説すると共に、パソコンのウイルス対策ソフトだけではない最新の対策技術や手法をご紹介したい。

図１：不正プログラム報告数と問合せ数

まずは、（図１）をご覧頂きたい。この図は、弊社に問い合わせを頂いた報告と、ＩＰＡ（独立行政法人情報処理推進機構）に報告された数を重ねたものである。
世界中で大感染を起こしたＮＩＭＤＡ（ニムダ）、ＭＳＢＬＡＳＴ（エムエスブラスト）等は非常に有名であるが、ここ最近のウイルスはその数を大きく越えることがお分かり頂けるであろう。ＩＰＡ、当社ともに届け出件数も飛躍的に伸びている。最近では２００６年８月１６日から発生した、メールで大量に拡散するタイプの"ストレーション"と呼ばれるウイルスは、同年末までに２８５種という大量の亜種が発見された。今年も亜種の数は増加しており、いまなおユーザを脅かしている。
ソフトウェアの脆弱性を狙う攻撃はウイルスも、２００５年末からゼロデイアタック（パッチが公開される以前に、脆弱性を利用したウイルスが発見されること）が現実のものとなった。２００６年、２００７年にはマイクロソフトがパッチを公開する翌日に毎月のようにゼロデイアタックが報告され、一般化している。スパイウェアやボットウイルスといった比較的新しい種類の不正プログラムも、ますます氾濫している状況にある。
ここ数年で、ウイルスそのものの種類と数は確実に増加し、その性質も複雑化、悪質化していると言わざるを得ない。
しかし、ほんの１～２年前までは毎月の様にウイルスの感染報告が各メディアで報じられていたが、去年辺りから、一般の新聞やＴＶのニュース等では大きな感染の報道が少なくなってきた。これはなぜだろうか？

１）ウイルスの傾向「金銭目的のターゲット攻撃」

数年前まで、ウイルスの目的は、世間の混乱を愉しんだり、自分の技術力を誇示したりする、いわゆる愉快犯、売名行為が主であった。また感染対象も特に限定は無く、広くばらまかれた。その結果、多くの企業・個人間で多くの感染が報告され、社会的に問題となり、多くのメディアで取り上げられた。しかしここに来て、ウイルスの「ばらまかれ方」に変化が起きている。
弊社の調査では、特定の対象を狙うウイルスは、２００４年末を基準にすると、２００５年末で７８％、２００６年末では３５１％に急増している。即ち、２年間で３．５倍以上になっている。特定の対象（ターゲット）とは、例えば国、地域、団体、環境を意味する。
一つの例として、本来ターゲット攻撃ではないが地域限定という意味でWinnyを媒介とするAntinnyもその一種であると言えるし、去年から今年に発生した、一太郎を狙ったウイルスはまさにターゲットアタックだと言える。また今年の６月、イタリアを中心とした攻撃があった。約３０００以上のＷｅｂサイトの脆弱性を狙い、不正なプログラムを埋め込み、そこにアクセスしたユーザから、最終的に個人情報を盗み取るタイプのウイルスである。約１５０００人以上の一般ユーザが、改ざんされたとも知らず、アクセスしたと思われる。（図２）

図２：Webからの脅威(イタリアの事例)

ここ最近のウイルスの傾向は、ターゲットを強く意識した、"ターゲットアタック"であると言えるであろう。ターゲットではない個人や企業にとっては、ウイルスの発生すら知らず、結果として「最近ウイルスは発生していないのではないか」、と思われる理由である。感染した当事者からすると、以前のウイルスより複雑に且つ悪質になったと思われているに違いない。

もうつの理由と一して、最近発生しているウイルスの目的は、愉快犯、売名行為では無く、明確な目的を持っている。それは、金銭・情報の詐取を目的とした、組織犯であると言うことである。アンダーグラウンドの世界には、別組織として攻撃を仕掛ける側と、詐取したデータ、個人情報を利用し、実際に金銭等の奪取を行う側に分担・分業が出来ていると言われている。

2）最新の攻撃手法「Ｗｅｂからの脅威」

最近のウイルスを、攻撃手法で分析して見ると新たなことが分かってきた。それをこの項で解説したい。
ここ最近のウイルスは、Ｗｅｂを何らかの形で媒介にしている。また、アプリケーションプログラムや使用されるデータ等の最新化（アップデート）は、皆さんが通常利用されるＯＳや各種アプリケーションの専売特許であった。しかし、今やこの方法をウイルスも利用する。Ｗｅｂに接続し、自分自身をアップデートするのである。他に、初めに感染したウイルスが、次々と違うウイルスをＷｅｂからダウンロードし、同一のＰＣを複数のウイルスにより感染させたりするものも増加している。繰り返し感染させるタイプのウイルスを特に、ダウンローダタイプのウイルスと呼ぶこともある。
弊社の調査でこのＷｅｂを媒介とするウイルスの発生は、２００４年末を１００とすると、２００５年末で２０１、２００６年末に至っては５４０まで増加している。

　図３：ウイルス感染被害レポート(１月～６月)

※このランキングは、2007年1月1日から6月30日までの間に、日本のトレンドマイクロのサポートセンターに寄せられた問い合わせをもとに順位付けを行ったものです。本数値は、2007年7月5日現在の情報に基づき作成されたものです。以前に集計されたものと数字が異なっている可能性や、今後のサポート調査により、件数に変更が生じる可能性があります。
※被害件数はウイルス発見のみの数字も含みます。
※（※①）のウイルスに関しては、亜種をまとめてカウントした件数となります。
※（※②）「JAVA_BYTEVER.A」に関しては、パターンファイル番号1.546.00から「JAVA_BYTVERIFY.A」の検出名で対応いたしておりましたが、パターンファイル番号1.731.00から「JAVA_BYTEVER.A」に改称いたしましたので、双方の数を集計したものになります。
※（※③）印のウイルスに関しては、「WORM_STRATION」、「WORM_STRAT」、「TROJ_STRAT」、「WORM_STRATIO」、「WORM_WAREZOV」をまとめてカウントした件数になります。

従って、最近の傾向を一言で表すと「Ｗｅｂからの脅威」であると言えるだろう。
（図３）は、弊社が毎月発表している、"ウイルス感染被害レポート"の上半期総括である。被害件数は弊社への問い合わせ数であるが、感染した全てのユーザが報告する訳ではなく、また多くのユーザは既に導入されているウイルス対策製品で防御（発見）している為、全ての被害件数を表してはいないが、ウイルス毎の被害の大きさの傾向は見て取れる。これらウイルスを「Ｗｅｂ」との関連をカテゴライズしたのが、"活動"の欄である。お分かり頂けるように、今年上半期を見ても、ＴＯＰ１０全てのウイルスがＷｅｂを何らかの形で媒介とする「Ｗｅｂからの脅威」であることが分かるであろう。

図４：ストームワーム(WORM_NUWAR)

前述した、ストレーションも、イタリアで発生したウイルスも、この「Ｗｅｂからの脅威」である。また、2007年1月に欧州を中心に被害が広がった「WORM_NUWAR」（通称ストームワーム）も（図４）のようにWebを介した連続的な攻撃を仕掛けているのがお分かりいただけるだろう。

3）「Ｗｅｂからの脅威」を防げない理由

これほど「Ｗｅｂからの脅威」が発生している背景には、どのような理由があろうか？
それは、下記が考えられる。
・Ｗｅｂ（ＨＴＴＰＰｏｒｔ８０）は閉じることが出来ない
  →Ｗｅｂの閲覧、ＡＳＰサービスの利用、各種アップデート等、業務に不可欠
・ファイアーウォールでは防げない
  →外部からのアタックではない、必要な通信との区別がつかない
・ＩＤＳのみでは守れない
  →正常なＨＴＴＰリクエストによる侵入、アウトブレーク（大量のトラフィック）しない
これらの理由から従来のウイルス対策のみでは十分でないと言える。

このページのトップへ

■次回予告

次回は「Webからの脅威　～コンピュータウイルスの最新動向とその対策～」の2回目として、具体的な対策やその技術について、わかりやすく解説いたします。

ホームに戻る　　

サイトマップ